Michał 'Amra' Macierzyński napisał(a):

>>Wniosek: nie instalować skórek niewiadomego pochodzenia i można
>>bezpiecznie korzystać z Mozi.
> Raczej bledny wniosek: "Nie został on jednak zabezpieczony przed możliwością
> ładowania plików XUL przez odpowiednio spreparowaną stronę internetową.
> Ewentualny włamywacz może nie tylko zmienić wygląd przeglądarki, ale również
> przekierować ją pod dowolny URL. "

Ups, nieuważnie przeczytałem - przepraszam.

Ale znalazłem źródło tej wiadomości.
http://secunia.com/advisories/12188

I okazuje się, że autor notatki chipa też nieuważnie przeczytał ;-)

Z oryginalnego opisu wynika troszkę co innego, niż z polskiego
tłumaczenia. Generalnie chodzi o to, że kliknięcie odpowiednio
spreparowanego linka może spowodować odpalenie dowolnych elementów
graficznych (pisanych w XULu), które będą udawać zawartość innej strony,
co jest potencjalnie niebezpieczne.

Czyli: niebezpieczeństwo tej samej klasy, co kliknięcie w link
prezentowany w mailu od "CitiBanku".

Za secunia.com:
Solution:
Do not follow links from untrusted sites.

A, i jeszcze jedno:
NOTE: This issue appears to be the same as Mozilla Bug 244965

A ten bug został poprawiony w: Mozilla 1.7.1/Firefox 0.9.2/Thunderbird
0.7.2:

http://www.mozilla.org/projects/security/known-vulne
rabilities.html#mozilla1.7

(numer 77).

Nie taki diabeł straszny ;-)

Marek